Som digi.no skrev i forrige uke, ble nettstedet til The PHP Group, php.net, sperret av Google sist onsdag etter funn av skadevare på nettstedet. I ettertid har det blitt bekreftet at to av nettstedet servere var blitt kompromittert. Disse serverne ble brukt til å levere blant annet www.php.net, git.php.net og bugs.php.net. Fortsatt ser det ut til at det er ukjent hvordan kompromitteringen har skjedd.

The PHP Group opplyser at alle berørte tjenester har blitt flyttet vekk fra disse serverne. Det er også bekreftet at Git-forrådet ikke har blitt kompromittert.

Det mistenkes at angriperne kan ha fått tilgang til den private nøkkelen til SSL-sertifikatet til nettstedet. Derfor har dette blitt tilbakekalt og skiftet ut.

Uansett om dette faktisk er tilfellet eller ikke, er det ifølge Johannes B. Ullrich ved SANS Technology Institute svært lite tilrådelig å oppbevare hemmelige nøkler på samme server som de brukes. Han mener at det beste er å oppbevare det utilgjengelig fra Internett.

Skadevaren som ble levert via php.net-nettstedet var JavaScript-basert. Men ifølge The PHP Group skal bare en liten andel av php.net-brukerne ha blitt utsatt for den i perioden 22. til 24 oktober.

Den berørte filen heter «userprefs», hvor det var satt inn en mengde lite lesbar kode. Denne koden åpnet en skjult iframe på visse php.net-sider. Detaljer om dette, inkludert selve kode, finnes her.

Brukere som logger seg på php.net for å laste opp kode, vil måtte bytte passord.